Un grup de comercianți a spus săptămâna trecută asta Au fost furate criptografii în valoare de 22 de milioane de dolari prin chei API compromise de pe platforma de tranzacționare 3Commas. Miercuri, 3Commas a recunoscut că a fost sursa acelei scurgeri API.
Anunțul a venit după ce un utilizator anonim de Twitter a obținut aproximativ 100,000 de chei API aparținând utilizatorilor 3Commas și le-a publicat online.
3Commas insistase inițial că nu există nicio problemă de securitate la capăt, iar co-fondatorul Yuriy Sorokin a sugerat în mod repetat pe Twitter că un atac de tip phishing i-a determinat pe utilizatori să renunțe la datele lor.
Dar miercuri, Sorokin a postat pe Twitter: „Am văzut mesajul hackerului și putem confirma că datele din fișiere sunt adevărate… Ne pare rău că acest lucru a ajuns atât de departe și va continua să fie transparent în comunicările noastre cu privire la situație.”
3Commas este o platformă care permite utilizatorilor să conecteze mai multe conturi de schimb criptografic, cum ar fi cele păstrate pe Binance, la software-ul de tranzacționare automatizat. Toate acestea se realizează prin intermediul API-urilor (interfețe de programare a aplicațiilor), mecanismele standardizate care permit componentelor software separate să comunice între ele și să îndeplinească sarcini. Ideea este că oamenii nu trebuie să facă munca grea de a se gândi la meseriile lor. În schimb, totul se face instantaneu și automat prin cod.
Până când oamenii greșiți au acces la API-uri.
Detectiv blockchain @ZachXBT a spus anterior pe Twitter că a verificat un grup de 44 de victime care au pierdut un total de 14.8 milioane de dolari prin chei API furate de la 3Commas.
Ca răspuns, Sorokin a postat pe Twitter că „Dacă ești o victimă, înseamnă că într-un fel ți-au scurs cheile”, dar „nu de la 3Commas”. Dacă cheile API scurse ar fi fost de la 3Commas, „ai fi văzut milioane de cazuri, nu o sută”, a argumentat el.
Într-o firul separat, el a criticat „incompetența din surse mass-media mari” și a pus sub semnul întrebării validitatea unei foi de calcul crowdsourcing de conturi compromise. „Atenție că majoritatea utilizatorilor care au raportat pierderi nici măcar nu au deschis un bilet de asistență cu schimbul și nu s-au dus la poliție”, a scris Sorokin pe Twitter. „Cum au fost verificate aceste informații?”
Din nou el a afirmat că au fost prea puține incidente ca să fi fost o exploatare 3Commas. „Există peste 1 [milion] chei conectate la 3Commas, cu aproximativ 100 de utilizatori care raportează probleme cu conturile lor”, a scris Sorokin pe Twitter. „De ce s-ar întâmpla asta dacă [baza de date] ar fi scurs?”
Astăzi, un ZachXBT justificat a postat pe Twitter că „de câteva săptămâni [3Commas] își învinovățesc utilizatorii și acceptă zero responsabilitate”.
„Ați continuat să mințiți și să spuneți că asta a fost vina noastră, în loc să vă asumați responsabilitatea și să preveniți exploatările ulterioare”, a adăugat @CoinMamba, un alt utilizator 3Commas care a spus că a pierdut fonduri. „Vrei să rambursezi utilizatorii acum?”
Nu este prima dată când 3Commas și gestionarea API-ului a intrat în atenție. Cu aproximativ o lună înainte ca FTX să depună declarația de faliment, Sam Bankman-Fried a fost de acord să ramburseze 6 milioane de dolari clienților afectați de ceea ce a fost descris ca un infracțiune virtuală implicând 3 virgule.
Miercuri, CEO-ul Binance, Changpeng Zhao, a scris pe Twitter că era „în mod rezonabil sigur” că au existat „scurgeri de chei API pe scară largă” de la 3Commas.
CZ a adăugat că utilizatorii ar trebui să-și dezactiveze cheile API în 3Commas. Acesta este ceea ce recomandă acum și 3Commas.
„Ca o acțiune imediată, am cerut ca Binance, Kucoin și alte schimburi acceptate să revoce toate cheile care au fost conectate la 3Commas”, a scris Sorokin pe Twitter.
3Commas nu a răspuns la o solicitare de comentarii suplimentare din partea decriptaţi.
Fiți la curent cu știrile cripto, primiți actualizări zilnice în căsuța dvs. de e-mail.
Sursa: https://decrypt.co/118094/after-repeated-denials-3commas-admits-it-was-source-for-earlier-hacks
